زکاکسبیتی، محقق آنچین، هشدار داده است که «پولیاَرب» (Polyarb)، سایتی که خود را بهعنوان یک پلتفرم بازار پیشبینی معرفی میکند، در حال اجرای یک «خالیکننده کیف پول» فعال است و از طریق پاسخ دادن حسابهای برجسته کریپتویی به پستهایش در حال افزایش دامنه دسترسی خود است.
زکایکسبیتی پولیارب را بهعنوان یک بازار پیشبینی جعلی با یک کیفپولخالیکنِ فعال معرفی میکند
نویسنده
اشتراک
نکات کلیدی:
- زکاکسبیتی در ۴ مه ۲۰۲۶ هشدار داد که پولیاَرب میزبان یک خالیکننده کیف پول فعال است که کاربران کریپتو را هدف میگیرد.
- حسابهای مطرحی که به پستهای پولیاَرب پاسخ میدهند، بدون اینکه متوجه باشند این کلاهبرداری را به مخاطبان جدید تقویت میکنند.
- این هشدار پس از افشای اخیر زکاکسبیتی درباره یک شرکت حقوقی آمریکایی که به دنبال ۷۱ میلیون دلار از وجوه مسدودشده مرتبط با لازاروس بود، منتشر شده است.
پولیاَرب چه کاری انجام میدهد
خالیکنندههای کیف پول با پنهان کردن یک تأیید (approval) مخربِ قرارداد هوشمند در قالب یک تراکنش عادی کار میکنند؛ بهطوریکه وقتی کاربر کیف پول خود را متصل میکند و چیزی را که ظاهراً یک واریز، دریافت (claim) یا اقدام برای ورود به بازار است امضا میکند، خالیکننده یک تأییدِ جداگانه و پنهان را فعال میکند که به مهاجم دسترسی کامل به داراییهای کیف پول را میدهد.
زکاکسبیتی بهطور مشخص بر یک ریسک تقویتشدن (amplification) تأکید کرد؛ یعنی یک حساب برجسته کریپتویی به یکی از پستهای پولیاَرب پاسخ داده و به این پلتفرم دسترسی ارگانیکی داده است که در غیر این صورت به دست نمیآورد. پاسخ دادن به محتوای یک پلتفرم کلاهبرداری، حتی با تردید، آن پلتفرم را در معرض دید کل مخاطبانِ کاربری قرار میدهد که پاسخ داده است؛ مخاطبانی که میتوانند میلیونی باشند، بدون اینکه هیچ نشانهای وجود داشته باشد که منبع، مخرب است.
بخشی از یک روند گستردهتر
پلتفرمهای جعلی امور مالی غیرمتمرکز (DeFi) و بازارهای پیشبینی در سال ۲۰۲۶ به یک بردار حمله هرچه رایجتر تبدیل شدهاند. گردانندگان کلاهبرداری با سوءاستفاده از افزایش دیدهشدن پلتفرمهای قانونی مانند Polymarket و Kalshi—که هر دو روابط نظارتی خود با کمیسیون معاملات آتی کالا (CFTC) را افشا کردهاند—سایتهای مشابه با برندینگ نزدیک و بدون قراردادهای ممیزیشده ایجاد میکنند.
زکاکسبیتی سابقهای پیوسته در افشای این تهدیدها و تهدیدهای مرتبط دیگر پیش از انباشته شدن زیانهای قابلتوجه ساخته است. اوایل همین ماه، این محقق فاش کرد که یک شرکت حقوقی آمریکایی (Gerstein Harrow) دادخواستی ثبت کرده است تا ۷۱ میلیون دلار را مصادره کند؛ مبلغی از اتریوم که پس از سوءاستفاده آوریل ۲۰۲۶ از KelpDAO و در ارتباط با گروه لازاروس مسدود شده بود، و این کار را با تکیه بر یک حکم حقوقی سال ۲۰۱۵ علیه کره شمالی انجام داده تا در هر صف بازیابی، جلوتر از قربانیان واقعی هک قرار بگیرد.
چگونه ایمن بمانیم
پیش از اتصال کیف پول به هر بازار پیشبینی یا پلتفرم دیفای، کاربران باید آدرس قرارداد را با مستندات رسمی پلتفرم تطبیق دهند و تأیید کنند که یک ممیزی عمومی قرارداد هوشمند از سوی یک شرکت امنیتی معتبر وجود دارد. نشانههای هشدار شامل نداشتن رابطه نظارتیِ اعلامشده، نداشتن قراردادهای ممیزیشده، و پروفایلهای شبکههای اجتماعی است که نسبت به سطح فعالیت ادعاییشان بهتازگی ایجاد شدهاند.
لغو کردن مجوزهای توکن (token approvals) پس از هر تعامل مشکوک با استفاده از ابزارهایی مانند Revoke.cash میتواند اگر یک خالیکننده از پیش فعال شده باشد، میزان در معرض بودنِ ادامهدار را محدود کند. استفاده از کیف پول سختافزاری، بهجای یک کیف پول داغ مبتنی بر مرورگر که مبالغ قابلتوجهی را نگه میدارد، هنگام اتصال به پلتفرمهای ناآشنا میتواند یک لایه محافظتی اضافی فراهم کند، زیرا هر تراکنش به تأیید فیزیکی نیاز دارد.
